tärkeitä kyberturvallisuutta ja tietosuojaa koskevia poimintoja kuninkaan puheesta

Tärkeitä kyberturvallisuuden ja tietosuojan poimintoja kuninkaan puheesta

Kuningas Charles III:n puhe Britannian parlamentin avajaisissa viime viikolla hahmotteli kriittisiä lainsäädäntötoimia, joita uusi hallitus aikoo toteuttaa valtakaudellaan, ja korosti hallituksen prioriteetteja tuleville vuosille. 

- kunnianhimoinen lainsäädäntöohjelma sisälsi noin 40 lakiesitystä, jossa on kaksi erityistä teknologia-alaa koskevaa lainsäädäntöä: kyberturvallisuutta ja kestävyyttä koskeva laki sekä digitaalisen tiedon ja älykkään datan laki.    

 Joten mitkä ovat näiden lakiehdotusten tärkeimmät tiedot ja kyberturvallisuus, ja mitä yritykset voivat nyt tehdä valmistautuakseen tulevaan lainsäädäntöön? 

Cyber ​​Security and Resilience Bill 

Cyber ​​Security and Resilience Bill pyrkii vahvistamaan maan kyberpuolustusta ja turvaamaan kriittistä infrastruktuuria ja digitaalisia palveluita, joihin yritykset ovat voimakkaasti riippuvaisia. Viimeaikaiset kyberhyökkäykset NHS:ää ja puolustusministeriötä vastaan ​​korostavat tämän toimenpiteen kiireellisyyttä. Tuleva lakiesitys lupaa korjata nämä haavoittuvuudet nopeasti, varmistaa digitaalitalouden suojan ja tukea kasvua. 

Billin strategian keskeinen osa on nykyisten säännösten uudistaminen, jotka heijastavat tällä hetkellä vanhentuneita EU:n lakeja, nimittäin tietoturvaa, joka korvataan piakkoin päivitetty NIS 2. Yhdistyneen kuningaskunnan uusi lainsäädäntö vahvistaa sääntelyviranomaisia ​​ja velvoittaa lisäämään kyberuhkien raportointia. Tämä antaa hallitukselle selkeämmän käsityksen kybermaisemasta ja parantaa sen reagointikykyä. 

Lakiehdotuksella pyritään myös laajentamaan nykyisten säännösten ulottuvuutta kattamaan enemmän digitaalisia palveluita ja toimitusketjuja, joista on tullut yhä houkuttelevampia kohteita kyberhyökkääjille. Näin se pyrkii täyttämään kriittiset aukot maan puolustuksessa ja estämään sellaiset häiriöt, joita Yhdistyneen kuningaskunnan julkiset palvelut ovat viime aikoina kokeneet, kuten ransomware-hyökkäys, joka lamautti useita Lontoon sairaaloita. 

Lainsäädännön odotetaan tuovan korkeampia sakkoja ja rangaistuksia kyberturvallisuusstandardien noudattamatta jättämisestä uusien lakisääteisten vaatimusten vahvistamiseksi. Nämä rangaistukset täydentävät satunnaisia ​​mutta merkittäviä sakkoja, jotka Information Commissioner's Office (ICO) on jo määrännyt tietoturvaloukkauksista. 

Tiedostetaan kaupankäynnin toisiinsa liittyvä luonne, ja ehdotetussa lakiehdotuksessa tarkastellaan myös sitä vaativat organisaatioita varmistamaan, että niiden toimittajat ja kumppanit täyttävät vankat kyberturvallisuusstandardit. Se voi myös asettaa velvollisuuksia ylimmälle johdolle, johtajille tai johtajille henkilökohtaisesti vastuuseen noudattamatta jättämisestä. 

Sääntelyviranomaisilla on valtuudet varmistaa olennaisten kyberturvallisuustoimenpiteiden toteuttaminen, mukaan lukien mahdolliset kustannusten takaisinmaksumekanismit ja valtuudet tutkia haavoittuvuuksia ennakoivasti. Lisäksi lakiehdotus velvoittaa kattavan tapahtumaraportoinnin, mikä antaa hallitukselle parempaa tietoa kyberhyökkäyksistä, mukaan lukien lunnasohjelmatapaukset, parantaakseen uhkien havaitsemista ja reagointia. 

Kyberturvallisuutta ja kestävyyttä koskevan lain lähestyvän käyttöönoton myötä yritysten, erityisesti teknologian ja kriittisten infrastruktuurien aloilla, on todennäköisesti investoitava tiukempiin kyberturvatoimiin. Tämä parantaa niiden kestävyyttä ja varmistaa, että ne noudattavat uusia, tiukempia standardeja. 

Lisääntyvät raportointivelvoitteet voivat kuitenkin lisätä yrityksille hallinnollista taakkaa ja kustannuksia. Tunnustettuaan nämä haasteet, hallitus aikoo tarjota resursseja erityisesti pienyrityksille National Cyber ​​Security Centerin (NCSC) kautta auttaakseen niitä parantamaan kyberturvallisuuskäytäntöjään. 

Lakiesitys sisältää todennäköisesti myös tekoälyyn (AI) liittyviä säännöksiä sen lisäksi, että se keskittyy yleiseen kyberturvallisuuteen. Vaikka erillistä tekoälylakia ei otettu käyttöön, Cyber ​​Security and Resilience Bill huomautukset tunnustavat tekoälyn kasvavan vaikutuksen ja ehdottavat toimenpiteitä tehokkaiden tekoälymallien kyberturvallisuusvaikutusten käsittelemiseksi. Tällä tavalla kokonaisvaltainen lähestymistapa varmistaisi epäilemättä, että tekoälytekniikoita kehitettäisiin ja otettaisiin käyttöön turvallisemmin ja harkitummin, mikä vähentää mahdollisia riskejä. 

Ehdotetun kyberturvallisuutta ja -sietokykyä koskevan lakiehdotuksen 5 parasta poimintaa  

 

  1. Tiukempi noudattaminen ja rangaistukset: Uuden kyberturvallisuutta ja kestävyyttä koskevan lain odotetaan tuovan korkeammat sakot ja rangaistukset yrityksille, jotka eivät noudata pakotettuja kyberturvallisuusstandardeja, sekä olemassa olevia ICO-rangaistuksia tietoturvaloukkauksista.
  2. Laajennettu soveltamisala ja raportointivaatimukset: Yritysten on noudatettava päivitettyjä säännöksiä, jotka kattavat enemmän digitaalisia palveluita ja toimitusketjuja. Organisaatioita vaaditaan myös raportoimaan kyberturvallisuushäiriöistä kattavammin, jotta hallitukselle saadaan parempaa tietoa kyberuhkista.
  3. Toimitusketjun kyberturvallisuus: Esitetyssä lakiehdotuksessa painotetaan voimakkaasti tarvetta suojata kriittistä infrastruktuuria paremmin kyberhyökkäyksiltä. Nykyaikaisen kaupankäynnin yhteenliittymisen ja toimitusketjun viimeaikaisten kybertapahtumien vakavuuden vuoksi yritysten on oltava valmiita varmistamaan, että myös tavarantoimittajansa ja kumppaninsa ylläpitävät korkeita kyberturvallisuusstandardeja ja pystyvät osoittamaan tämän.
  4. Ylimmän johdon vastuullisuus: Lakiehdotus voi asettaa ylimmälle johdolle velvollisuutta toteuttaa kyberturvallisuustoimenpiteitä, joihin voi liittyä henkilökohtaisia ​​sakkoja tai seuraamuksia noudattamatta jättämisestä.
  5. Tuki pienyrityksille: Hallitus aikoo tarjota resursseja National Cyber ​​Security Centerin (NCSC) kautta auttaakseen pienyrityksiä parantamaan kyberturvallisuuskäytäntöjään ja täyttämään uudet sääntelyvaatimukset. 

Digitaalisen tiedon ja älykkään tiedon lasku 

Merkittävässä lainsäädännössä äskettäin julkistetun digitaalisen tiedon ja älykkään datan lakiehdotuksen tavoitteena on valjastaa datan voima vauhdittamaan talouskasvua, tukemaan nykyaikaista digitaalista hallintoa ja parantamaan kansalaisten elämää. Tämä aloite seuraa edellisen hallituksen epäonnistunutta yritystä hyväksyä Data Protection and Digital Information (DPDI) laki mutta lupaa tuoreen lähestymistavan, joka on räätälöity nykyiseen digitaaliseen maisemaan. 

Lakiehdotuksen ytimessä pyritään luomaan kattava sääntelykehys, joka kannustaa innovatiiviseen tiedonkäyttöön. Keskeistä tässä on Digitaalisten todentamispalvelujen edistäminen. Niiden tavoitteena on virtaviivaistaa jokapäiväisiä tehtäviä, kuten muuttoa, työllistymistä edeltäviä tarkastuksia ja ikärajoitettujen tavaroiden ostamista tarjoamalla turvalliset digitaaliset henkilöllisyydet. Tämän innovaation odotetaan säästävän aikaa ja rahaa samalla kun se parantaa verkkotapahtumien turvallisuutta. 

Lakiehdotuksessa korostetaan myös Smart Data -järjestelmiä, jotka helpottavat asiakastietojen turvallista jakamista valtuutettujen kolmansien osapuolten kanssa pyynnöstä. Kuten onnistunut Open Banking -kehys, tämä aloite pyrkii edistämään innovatiivisia palveluita, jotka tehostavat päätöksentekoa ja markkinoiden sitoutumista. Lakiehdotuksella pyritään vahvistamaan kuluttajia ja vauhdittamaan talouskasvua eri sektoreilla luomalla näille järjestelmille lainsäädännöllinen perusta. 

Myös julkisten palvelujen parantaminen ja tieteellisen tutkimuksen tukeminen ovat esityksen keskeisiä tavoitteita. Hallitus pyrkii digitaalitalouslakia muuttamalla parantamaan julkisia palveluita hyödyntävien yritysten tiedonjakoa, siirtymään sähköiseen syntymä- ja kuolinrekisteröintiin sekä yhtenäistämään terveydenhuollon ja sosiaalialan tietojärjestelmiä. Lisäksi lakiehdotuksella päivitetään tietolakeja vastaamaan paremmin nykyaikaisia ​​tieteidenvälisiä tutkimustarpeita, jolloin tutkijat voivat saada laajan suostumuksen työhönsä ja kaupalliset tutkijat voivat käyttää tietoja tehokkaasti. 

Lakiehdotuksessa otetaan käyttöön kohdennettuja uudistuksia tietolakeihin, jotta suoja ja innovaatio tasapainotetaan näiden tavoitteiden edistämiseksi. Näillä uudistuksilla pyritään selkeyttämään olemassa olevia säännöksiä, poistamaan esteitä uusien teknologioiden kehittämiseltä ja varmistamaan, että korkeat tietosuojastandardit säilyvät. 

Lakiehdotuksen merkittävä osa on tietovaltuutetun toimiston (ICO) nykyaikaistaminen ja vahvistaminen. ICO:lle rakennetaan uusi toimitusjohtaja, hallitus ja puheenjohtaja, ja sille myönnetään uusia valtuuksia tietosuojalakien täytäntöönpanoon. Tämän muutoksen tarkoituksena on varmistaa, että ICO voi valvoa tehokkaasti lakiehdotuksessa ehdotettuja tehostettuja tietosuojatoimenpiteitä. 

Digital Information and Smart Data Bill edustaa ennakoivaa lähestymistapaa datan hyödyntämiseen talouden ja yhteiskunnan hyödyksi. Sääntelyrakenteita modernisoimalla, julkisia palveluja tehostamalla ja tieteellistä tutkimusta tukemalla hallitus pyrkii asettamaan Yhdistyneen kuningaskunnan digitaalitalouden eturintamaan säilyttäen samalla korkeat tietosuoja- ja turvallisuusstandardit.  

Suosituimmat digitaaliset tiedot ja älykäs datalasku  

  1. ICO:n rakenne- ja hallintomuutokset: Lakiehdotuksessa rakennetaan uudelleen ICO, jotta se saa uuden hallintokehyksen ja lisää valtuuksia. Näillä muutoksilla pyritään parantamaan ICO:n kykyä valvoa tietosuojamääräyksiä ja valvoa digitaalisia varmennuspalveluita.
  2. Secure Digital Identity -tuotteiden kehittäminen: Lakiesitys tukee suojattujen digitaalisten identiteettituotteiden ja -palveluiden luomista ja käyttöönottoa. Nämä tuotteet helpottavat turvallisia liiketoimia erilaisissa yhteyksissä, kuten muutossa, työllistymistä edeltävissä tarkastuksissa ja ikärajoitettujen tavaroiden ja palveluiden ostamisessa.
  3. Tuki älykkäille tietojärjestelmille: Lainsäädäntö edistää älykkäiden tietojärjestelmien kehittämistä, mikä mahdollistaa asiakastietojen jakamisen valtuutettujen palveluntarjoajien kanssa. Tämän aloitteen tavoitteena on edistää innovaatioita ja parantaa palvelutarjontaa rahoitus-, energia- ja televiestintäaloilla.
  4. Tietolakien uudistukset: Lakiehdotuksella otetaan käyttöön kohdennettuja uudistuksia tietolakeihin, jotta suoja ja innovaatio ovat tasapainossa. Näillä uudistuksilla pyritään selkeyttämään olemassa olevia säännöksiä, poistamaan esteitä uusien teknologioiden kehittämiseltä ja ylläpitämään korkeita tietosuojastandardeja. 

 

Entä AI-sääntely Yhdistyneessä kuningaskunnassa? 

Odoksista huolimatta Yhdistyneen kuningaskunnan hallitus ei esittänyt erityistä tekoälyä koskevaa lakiesitystä kuninkaan puheessa. Tekoälynäkökohdat on kuitenkin sisällytetty kyberturvallisuutta ja kestävyyttä koskevaan lakiin ja tuoteturvallisuustoimenpiteisiin, mikä osoittaa, että hallitus tunnustaa tekoälytekniikoiden kasvavan merkityksen ja mahdolliset riskit. 

Huolimatta erillisen tekoälyn lain puuttumisesta, hallitus ilmaisi sitoumuksensa "pyrkiä luomaan asianmukaista lainsäädäntöä asettaakseen vaatimuksia niille, jotka työskentelevät tehokkaimpien tekoälymallien kehittämiseksi".

Tämä sitoumus korostaa jatkuvaa pyrkimystä varmistaa, että tekoälyn kehittäminen ja käyttöönotto tapahtuu turvallisuuden, turvallisuuden ja eettisten standardien mukaisesti. 

Ja vaikka Yhdistyneen kuningaskunnan välitön tekoälyasetus ei näytä todennäköiseltä, EU:n tekoälylakista on nyt tullut laki. Se koskee kaikkia yrityksiä, jotka käyvät kauppaa tai toimivat EU:n yrityksissä ja kuluttajissa tai niiden kanssa, joten yritysten tulee valmistautua tähän nyt ja tulevien Yhdistyneen kuningaskunnan tekoälykohtaisten säännösten todennäköisyyteen.  

Valmistautuminen – Kuinka yrityksesi voi päästä tulevan sääntelyn edelle 

Tulevan kyberturvalainsäädännön myötä ISO 27001 on tärkeä voimavara organisaatioille, jotka haluavat vahvistaa digitaalista puolustustaan. Tämä kansainvälisesti tunnustettu standardi on tiukasti linjassa monien ehdotettujen kyberturvallisuus- ja kestolaskuvaatimusten sekä digitaalisen tiedon ja älykkään tiedon laskun vaatimusten kanssa. ISO 27001:n riskiperusteinen lähestymistapa tietoturvan hallintaan heijastaa lainsäädännössä painotettua kokonaisvaltaista riskinarviointia ja riskinhallintastrategioita. 

ISO 27001:n edut vaatimustenmukaisuuden kannalta 

  • Systemaattinen riskienhallinta: ISO 27001 edellyttää yrityksiä järjestelmällisesti tunnistamaan, arvioimaan ja käsittelemään tietoturvariskejä, mikä vastaa uuden sääntelyn painopisteen riskienhallintaa ja ennakoivaa haavoittuvuusarviointia.
  • Strukturoitu tapahtumaraportointi: Standardi määrää menettelyt turvapoikkeamien havaitsemiseksi, raportoimiseksi ja niihin reagoimiseksi, mikä tukee uuden lainsäädännön lisääntyneitä vaaratilanteiden raportointivaatimuksia.
  • Kattavat turvatarkastukset: ISO 27001 edellyttää laajan valikoiman turvatarkastuksia, mikä auttaa yrityksiä täyttämään uusien säännösten edellyttämät parannetut suojatoimenpiteet.
  • Jatkuva parantaminen: ISO 27001 edistää tietoturvan jatkuvan parantamisen kulttuuria ja varmistaa, että yritykset sopeutuvat uusiin uhkiin ja sääntelyn muutoksiin. 

 

Yrityksille, joilla on vahva ISO 27001 -perusta, tulevien kyberturvallisuusmääräysten noudattaminen on sujuvampaa, vähemmän aikaa vievää ja kustannustehokkaampaa. Nykyisten puitteiden hyödyntäminen voi vähentää työtaakkaa ja resursseja, joita tarvitaan uusien lainsäädännöllisten vaatimusten täyttämiseen jopa 50–70 prosenttia.

Tämä etumatka merkitsee huomattavia kustannussäästöjä ja antaa yrityksille mahdollisuuden kohdistaa resursseja strategisemmin keskittyen turvallisuuden hienosäätöön sen sijaan, että rakennettaisiin vaatimustenmukaisuuskehystä tyhjästä.  

Mitä yritykset voivat tehdä valmistautuakseen tekoälysääntelyyn? 

Kun lähestymme tiukempia tekoälymääräyksiä, ISO 42001 tarjoaa ennakoivan lähestymistavan vaatimustenmukaisuuteen. Organisaatiot, jotka ottavat käyttöön tämän standardin nyt, eivät vain valmistaudu tuleviin säännöksiin; he asettavat itsensä vastuullisen tekoälyn johtajiksi. Mahdolliset hyödyt ovat huomattavia: parantunut turvallisuusasento, parantunut sidosryhmien luottamus ja kilpailuetu yhä enemmän tekoälyyn perustuvilla markkinoilla. 

ISO 42001:n kauneus piilee sen mukautumisessa ja synergiassa olemassa olevien kyberturvallisuuskehysten kanssa. Organisaatiot, jotka ovat jo tunteneet tietoturvastandardit, kuten ISO 27001, pitävät ISO 42001 -standardia luonnollisena jatkona tietoturva-asetelmalleen. Parhaat käytännöt tekoälykehysten integroimiseksi olemassa oleviin turvatoimiin alkavat kokonaisvaltaisesta lähestymistavasta. Tämä edellyttää tekoälyjärjestelmien kartoittamista nykyisiin turvaohjaimiin, aukkojen tunnistamista ja tekoälykohtaisten suojatoimien käyttöönottoa tarvittaessa. 

Katse tulevaisuuteen 

Integroimalla ISO 27001:ssä ja ISO 42001:ssä kuvatut kestävät tietoturva- ja tekoälyn turvaprosessit yritykset voivat hallita tehokkaasti sääntelyn muutoksia, parantaa kestävyyttä ja säilyttää kilpailuetunsa. Tämä kokonaisvaltainen lähestymistapa varmistaa, että organisaatiosi on vaatimusten mukainen ja hyvin valmistautunut vastaamaan tuleviin kyberturvallisuushaasteisiin. 

 

kirjailija

Rebecca Harper

Rebecca on ISMS.online-sisältömarkkinoinnin johtaja. Yli 12 vuotta tieto- ja kyberturvallisuusalalla toiminut Rebecca on omistautunut kouluttamaan, lisäämään tietoisuutta ja vahvistamaan yrityksiä saavuttamaan vaatimustenmukaisuuden, tiedon ja kyberturvallisuuden hallinnan tavoitteet.

Näytä kaikki Rebecca Harperin viestit

Aiheeseen liittyvät julkaisut

SOC 2 on täällä! Vahvista turvallisuuttasi ja rakenna asiakkaiden luottamusta tehokkaalla vaatimustenmukaisuusratkaisullamme jo tänään!